layout: doc h3InToc: true

Anforderungen

Rendezvous V1

Bei Verwendung des Citrix Gateway-Dienstes ermöglicht das Rendezvous-Protokoll dem Datenverkehr, die Citrix Cloud™ Connectors zu umgehen und sich direkt und sicher mit der Citrix Cloud-Steuerungsebene zu verbinden.

Es gibt zwei Arten von Datenverkehr zu berücksichtigen: 1) Steuerdatenverkehr für die VDA-Registrierung und das Session Brokering; 2) HDX™-Sitzungsdatenverkehr.

• Rendezvous V1 ermöglicht es dem HDX-Sitzungsdatenverkehr, Cloud Connectors zu umgehen, erfordert jedoch weiterhin Cloud Connectors, um den gesamten Steuerdatenverkehr für die VDA-Registrierung und das Session Brokering als Proxy zu verwenden.

Anforderungen

• Zugriff auf die Umgebung über Citrix Workspace™ und den Citrix Gateway-Dienst.
  • Steuerungsebene: Citrix DaaS (ehemals Citrix Virtual Apps and Desktops™-Dienst).
  • Linux VDA Version 2112 oder höher.
  • Version 2112 ist die Mindestanforderung für nicht-transparente HTTP-Proxys.
  • Version 2204 ist die Mindestanforderung für transparente und SOCKS5-Proxys.
• Aktivieren Sie das Rendezvous-Protokoll in der Citrix-Richtlinie. Weitere Informationen finden Sie unter Rendezvous-Protokoll-Richtlinieneinstellung.
  • Die VDAs müssen Zugriff auf https://*.nssvc.net haben, einschließlich aller Subdomains. Wenn Sie nicht alle Subdomains auf diese Weise zur Zulassungsliste hinzufügen können, verwenden Sie stattdessen https://*.c.nssvc.net und https://*.g.nssvc.net. Weitere Informationen finden Sie im Abschnitt Anforderungen an die Internetkonnektivität der Citrix Cloud-Dokumentation (unter Virtual Apps and Desktop-Dienst) und im Knowledge Center-Artikel CTX270584.
  • Cloud Connectors müssen die FQDNs der VDAs abrufen, wenn eine Sitzung vermittelt wird. Erledigen Sie diese Aufgabe auf eine der folgenden zwei Arten:
  • DNS-Auflösung für die Site aktivieren. Navigieren Sie zu Vollständige Konfiguration > Einstellungen und aktivieren Sie die Einstellung DNS-Auflösung aktivieren. Alternativ können Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK verwenden und den Befehl Set-BrokerSite -DnsResolutionEnabled $true ausführen. Weitere Informationen zum Citrix Virtual Apps and Desktops Remote PowerShell SDK finden Sie unter SDKs und APIs.
  • DNS-Reverse-Lookup-Zone mit PTR-Einträgen für die VDAs. Wenn Sie diese Option wählen, empfehlen wir Ihnen, die VDAs so zu konfigurieren, dass sie immer versuchen, PTR-Einträge zu registrieren. Verwenden Sie dazu den Gruppenrichtlinieneditor oder das Gruppenrichtlinienobjekt, navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > DNS-Client, und setzen Sie PTR-Einträge registrieren auf Aktiviert und Registrieren. Wenn das DNS-Suffix der Verbindung nicht mit dem DNS-Suffix der Domäne übereinstimmt, müssen Sie auch die Einstellung Verbindungsspezifisches DNS-Suffix konfigurieren, damit die Maschinen PTR-Einträge erfolgreich registrieren können.

  Hinweis:

  Wenn die Option DNS-Auflösung verwendet wird, müssen die Cloud Connectors die vollqualifizierten Domänennamen (FQDNs) der VDA-Maschinen auflösen können. Falls interne Benutzer direkt eine Verbindung zu den VDA-Maschinen herstellen, müssen die Clientgeräte auch die FQDNs der VDA-Maschinen auflösen können.

• Wenn eine DNS-Reverse-Lookup-Zone verwendet wird, müssen die FQDNs in den PTR-Einträgen mit den FQDNs der VDA-Maschinen übereinstimmen. Wenn der PTR-Eintrag einen anderen FQDN enthält, schlägt die Rendezvous-Verbindung fehl. Wenn der FQDN der Maschine beispielsweise vda01.domain.net lautet, muss der PTR-Eintrag vda01.domain.net enthalten. Ein anderer FQDN wie vda01.sub.domain.net funktioniert nicht.

Proxy-Konfiguration

Der VDA unterstützt den Aufbau von Rendezvous-Verbindungen über HTTP- und SOCKS5-Proxys.

• Überlegungen zum Proxy

Beachten Sie Folgendes, wenn Sie Proxys mit Rendezvous verwenden:

• Nicht-transparente HTTP-Proxys und SOCKS5-Proxys werden unterstützt.

  • Paketentschlüsselung und -inspektion werden nicht unterstützt. Konfigurieren Sie eine Ausnahme, damit der ICA®-Datenverkehr zwischen dem VDA und dem Gateway-Dienst nicht abgefangen, entschlüsselt oder inspiziert wird. Andernfalls bricht die Verbindung ab.

  • HTTP-Proxys unterstützen die maschinenbasierte Authentifizierung mithilfe der Authentifizierungsprotokolle Negotiate und Kerberos. Wenn Sie eine Verbindung zum Proxyserver herstellen, wählt das Schema Negotiate-Authentifizierung automatisch das Kerberos-Protokoll aus. Kerberos ist das einzige Schema, das der Linux VDA unterstützt.

  Hinweis:

  • Um Kerberos zu verwenden, müssen Sie den Dienstprinzipalnamen (SPN) für den Proxyserver erstellen und ihn dem Active Directory-Konto des Proxys zuordnen. Der VDA generiert den SPN im Format HTTP/<proxyURL>, wenn eine Sitzung aufgebaut wird, wobei die Proxy-URL aus der Richtlinieneinstellung Rendezvous-Proxy abgerufen wird. Wenn Sie keinen SPN erstellen, schlägt die Authentifizierung fehl.

• Die Authentifizierung mit einem SOCKS5-Proxy wird derzeit nicht unterstützt. Wenn Sie einen SOCKS5-Proxy verwenden, müssen Sie eine Ausnahme konfigurieren, damit der für Gateway-Dienstadressen (in den Anforderungen angegeben) bestimmte Datenverkehr die Authentifizierung umgehen kann.
• Nur SOCKS5-Proxys unterstützen den Datentransport über EDT. Verwenden Sie für einen HTTP-Proxy TCP als Transportprotokoll für ICA.

Transparenter Proxy

Transparenter HTTP-Proxy wird für Rendezvous unterstützt. Wenn Sie einen transparenten Proxy in Ihrem Netzwerk verwenden, ist keine zusätzliche Konfiguration auf dem VDA erforderlich.

Nicht-transparenter Proxy

Wenn Sie einen nicht-transparenten Proxy in Ihrem Netzwerk verwenden, konfigurieren Sie die Einstellung Rendezvous-Proxy-Konfiguration. Wenn die Einstellung aktiviert ist, geben Sie die HTTP- oder SOCKS5-Proxyadresse an, damit der VDA weiß, welchen Proxy er verwenden soll. Zum Beispiel:

• Proxy-Adresse: http://<URL oder IP>:<port> oder socks5://<URL oder IP>:<port>

Rendezvous-Validierung

Wenn Sie alle Anforderungen erfüllen, führen Sie die folgenden Schritte aus, um zu überprüfen, ob Rendezvous verwendet wird:

1. Starten Sie ein Terminal auf dem VDA.
2. Führen Sie /opt/Citrix/VDA/bin/ctxquery -f iP aus.
3. Die TRANSPORT PROTOCOLS zeigen den Verbindungstyp an:
   • TCP Rendezvous: TCP - TLS - CGP - ICA
   • EDT Rendezvous: UDP - DTLS - CGP - ICA
   • Proxy über Cloud Connector: TCP - PROXY - SSL - CGP - ICA oder UDP - PROXY - DTLS - CGP - ICA

Tipp:

Wenn der VDA den Citrix Gateway-Dienst bei aktiviertem Rendezvous nicht direkt erreichen kann, greift der VDA auf die Proxy-Verbindung der HDX-Sitzung über den Cloud Connector zurück.

Funktionsweise von Rendezvous

Dieses Diagramm bietet einen Überblick über den Rendezvous-Verbindungsfluss.

Befolgen Sie die Schritte, um den Ablauf zu verstehen.

1. Navigieren Sie zu Citrix Workspace.
2. Geben Sie die Anmeldeinformationen in Citrix Workspace ein.
3. Bei Verwendung eines lokalen Active Directory authentifiziert Citrix DaaS™ die Anmeldeinformationen mit Active Directory über den Cloud Connector-Kanal.
4. Citrix Workspace zeigt die aufgelisteten Ressourcen von Citrix DaaS an.
5. Wählen Sie Ressourcen aus Citrix Workspace aus. Citrix DaaS sendet eine Nachricht an den VDA, um sich auf eine eingehende Sitzung vorzubereiten.
6. Citrix Workspace sendet eine ICA-Datei an den Endpunkt, die ein von Citrix Cloud generiertes STA-Ticket enthält.
7. Der Endpunkt stellt eine Verbindung zum Citrix Gateway-Dienst her, stellt das Ticket zur Verbindung mit dem VDA bereit, und Citrix Cloud validiert das Ticket.
8. Der Citrix Gateway-Dienst sendet Verbindungsinformationen an den Cloud Connector. Der Cloud Connector ermittelt, ob es sich um eine Rendezvous-Verbindung handelt, und sendet die Informationen an den VDA.
9. Der VDA stellt eine direkte Verbindung zum Citrix Gateway-Dienst her.
10. Wenn eine direkte Verbindung zwischen dem VDA und dem Citrix Gateway-Dienst nicht möglich ist, leitet der VDA seine Verbindung über den Cloud Connector weiter.
11. Der Citrix Gateway-Dienst stellt eine Verbindung zwischen dem Endpunktgerät und dem VDA her.
12. Der VDA überprüft seine Lizenz mit Citrix DaaS über den Cloud Connector.
13. Citrix DaaS sendet Sitzungsrichtlinien über den Cloud Connector an den VDA. Diese Richtlinien werden angewendet.